政府部门信息技术服务外包安全管理思考.docxVIP

政府部门信息技术服务外包安全管理思考北京信息安全测评中心主任 刘海峰信息技术服务外包在经济结构转型、安排就业、绿色可持续发展等方面作用日益突出。中国服务外包研究中心 2013 年发布的《中国服务外包发展报告》显示，2012 年信息技 术外包执行金额达到 273.6 亿美元，占服务外包业务总量的58.8%。同时，政府部门因为人员少、专业技术能力与服务外 包企业人员相比存在差距，也迫切需要进行信息技术服务外包。信息技术服务外包在发挥服务商专业优势和规模优势，降 低成本，提高信息化质量和效率的同时，也引入了信息安全风险。2012 年 6 月发布的《国务院关于大力推进信息化发展和切实保 障信息安全的若干意见》（国发〔2012〕23 号），明确提出了 要规范和加强政府部门信息技术服务外包的安全管理工作。中非常突出。如 2011 年上海市卫生局外包公司的张某利用开发维护出生系统数据库的便利，非法下载了约 14 万条新生儿 出生信息并出售获利。2009 年深圳福彩中心外包公司的程某 通过自编木马软件入侵福彩中心销售系统，恶意篡改中奖数据 并伪造 3305 万大奖。信息技术服务外包企业主动泄露数据的情况也较为常见。 根据棱镜门批露的资料，微软、Google、Yahoo、Facebook、 PalTalk、YouTube、Skype、AOL、Apple 等为美国国家安全局 提供视频、语音、图片、邮件、文件等数据。信息技术服务外包信息安全问题还表现在信息技术服务 外包供应链环节上。根据爱德华·斯诺登 (Edward Snowden) 提 供的文件，曝光美国国家安全局（NSA）“棱镜门”的《卫报》 记者格伦·格林沃尔德(Glenn Greenwald），在自己的新书中透露， NSA 经常会收到或拦截美国厂商的路由器、服务器以及其他网 络设备，会在设备中植入‘后门监控工具’，重新打包并打上 工厂的密封封条，继续运输，出口给国际客户。政府部门因信息技术服务外包管理的不善导致出现信息 安全问题的情况更为常见。根据北京市对政府部门信息技术服 务外包的调研和历年检查的结果来看，导致管理不善的突出因 素表现在三个方面，一是对外包安全不够重视，重建设轻运维、 重建设轻安全思想仍较普遍，运维和信息安全保障资金申请较 困难；二是对外包机构和人员的管理跟不上。缺乏可靠的外包 机构和人员选择、服务过程评估、服务成果交付验证以及外包 机构和人员绩效考评的技术手段和标准，在外包机构和驻场人 员多、政府部门信息化人员少的情况下，难以有效管理外包机 构和人员；三是政府部门人员少，专业业务能力不足，严重依 赖外包机构和人员，重要数据、管理口令等多为外包服务商及 其人员所掌握，难以掌握管理的主动权。在信息技术服务外包中发生的众多安全问题，严重影响 了政府部门信息技术服务外包的决策，在包与不包、包给谁、 怎样包中作着艰难的选择。信息技术服务外包安全问题掣肘了业务发展政府部门信息化不断向纵深发展，呈现出所建信息系统越来越多、积累的数据规模越来越庞大的态势。与此相对应， 政府部门需要越来越多的信息技术服务外包机构和人员以及厂 商提供的产品来帮助进行信息系统的建设和运维。这样，政府 部门在信息技术服务外包中，就有两类突出因素极易产生安全 问题，一是信息技术服务外包机构和人员以及服务过程中使用 的产品不可靠，安全堡垒就容易从内部攻破；二是政府部门如 果对外包机构和人员管理不善，发生安全问题也同样在所难免。信息技术服务外包机构的人员利用掌握政府信息系统和 数据的便利，为自己谋取利益，在信息技术服务外包安全事件信息技术服务外包安全管理工作不断推进我国政府在大力推动信息技术服务外包产业发展的同时，40信息安全与通信保密·2014.12安全普及 · Security Science不断加强服务外包的信息安全管理。一是信息技术服务外包安全管理法规标准不断完善。法 律法规层面，出台了《中华人民共和国计算机信息系统安全保 护条例》（国务院令１４７号）、《中华人民共和国保守国家 秘密法》（主席令第 28 号）等一系列法律法规，对信息安全 等级保护、信息安全保密等进行规范；政策方面，《国家信息 化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27 号）为服务外包使用单位和提供商建立信息安全保障 体系提供了全面指导，《国务院关于大力推进信息化发展和切 实保障信息安全的若干意见》（国发〔2012〕23 号）再次突 出落实信息安全等级保护，完善信息安全认证认可体系，强调 严格政府信息技术服务外包的安全管理。《加强政府部门信息 技术外包服务安全管理》（工信部 2011 年第 21 号公告）、《关 于境内企业承接服务外包业务信息保护的若干规定》（商务部 令 2009 年第 13 号）等围绕信息技术服务外包